Sécurité

Sécurité

Introduction to Burp Suite, the Tool Dedicated to Web Application Security

Burp Suite est un outil essentiel pour la sécurité offensive, principalement utilisé pour les tests de pénétration des applications web. Cet article présente ses principales fonctionnalités, telles que le Proxy, qui agit comme intermédiaire entre le client et le serveur, et des extensions facilitant l'identification des vulnérabilités. La version Professional de Burp Suite est largement adoptée par les professionnels du secteur, tandis que la version Community est gratuite mais limitée. L'outil est particulièrement apprécié en raison de sa modularité et de l'active communauté qui développe de nouvelles extensions.

www.vaadata.com

burp suiteproxyintruder
Sécurité

API Penetration Testing: Objective, Methodology, Black Box, Grey Box and White Box Tests

Cet article traite des tests de pénétration des API, une méthode essentielle pour évaluer leur sécurité. Il explique la méthodologie des tests, y compris les approches black box, grey box et white box, et détaille leurs objectifs ainsi que les vulnérabilités à rechercher, comme les mauvaises configurations de sécurité et les accès non autorisés. Une attention particulière est accordée à la sécurité des APIs REST, SOAP et GraphQL, avec des exemples concrets de scénarios d'attaques et des mesures correctives.

www.vaadata.com

apigraphqlsymfony
Sécurité

AEGIS Encryption with PHP Sodium Extension

L'algorithme AEGIS, disponible dans l'extension Sodium de PHP à partir de la version 8.4, est une famille de systèmes de chiffrement authentifiés qui se révèle 2 à 3 fois plus rapide que AES-GCM et 3 à 4 fois plus rapide que CHACHA20-POLY1305. Il exploite l'accélération matérielle AES sur les architectures CPU 64 bits ARM. AEGIS est disponible lorsque l'extension Sodium est compilée en version 1.0.19 ou ultérieure. Des exemples de chiffrement et de déchiffrement avec les algorithmes AEGIS-128L et AEGIS-256 sont fournis, montrant des performances substantiellement supérieures aux algorithmes conventionnels.

php.watch

phpsodiumaes
Sécurité

Mobile Application Penetration Testing: Objective, Methodology and Testing Scope

Les applications mobiles sont de plus en plus utilisées dans les entreprises, mais elles représentent également des cibles pour les attaquants. Cet article présente l'approche des tests de pénétration mobile, détaillant la méthodologie, les objectifs et les caractéristiques à tester. Il aborde également les standards de sécurité comme le MASVS d'OWASP, ainsi que les différents types d'applications et les vulnérabilités communes. Les recommandations pour garantir la sécurité des données sensibles sont également discutées.

www.vaadata.com

owaspmobile application securitypenetration testing
Sécurité

Security Misconfiguration: OWASP Top 10 #5

Cet article aborde le problème de la mauvaise configuration de sécurité, classée cinquième dans le Top 10 d'OWASP. On y explore les vulnérabilités courantes, les scénarios d'attaque associés, et des exemples concrets d'applications affectées comme Spring Boot et Amazon S3. Des recommandations sur les meilleures pratiques pour éviter ces failles sont également fournies, notamment l'usage de 'spring security' pour protéger les points d'accès sensibles et la gestion des politiques d'accès sur les buckets S3.

www.vaadata.com

spring bootaws s3burp suite
Sécurité

Vulnerable and Outdated Components: OWASP Top 10 #6

Cet article traite des vulnérabilités liées aux composants tiers dans les applications web, en référence à l'OWASP Top 10. Il souligne la prévalence de ces vulnérabilités, les risques associés à des composants non mis à jour, et illustre par un exemple d'exploitation de XSS dans Swagger UI. L'importance de connaître les versions des composants et de mettre en œuvre des pratiques de sécurité est également discutée.

www.vaadata.com

owaspswagger uidompurify
Sécurité

RCE (Remote Code Execution): Exploitations and Security Tips

L'exécution de code à distance (RCE) est une vulnérabilité permettant à un attaquant d'exécuter du code à distance sur un dispositif cible, souvent utilisée comme point d'entrée pour d'autres attaques. Cet article examine les techniques d'exploitation des RCE, leurs impacts tels que le vol de données et l'escalade de privilèges, ainsi que des conseils pour les détecter et s'en protéger, en mettant l'accent sur les vulnérabilités Web et les méthodes d'exploitation courantes comme l'upload de fichiers malveillants.

www.vaadata.com

rcephpmalware
Sécurité

Introduction to Exegol, an Environment Dedicated to Offensive Security

Exegol est un outil qui simplifie la création d'environnements de test de sécurité, notamment pour le pentesting, en utilisant Docker. Il propose des solutions légères, portables et évolutives, permettant aux utilisateurs de configurer facilement des conteneurs pour différents types de tests de sécurité. Exegol prend en charge plusieurs architectes de systèmes d'exploitation et offre une interface simplifiée. Il automatise également la gestion de l'intégration continue via GitHub Actions pour garantir la qualité des outils inclus. Des ressources personnalisées permettent aux utilisateurs d'adapter leur environnement de test.

www.vaadata.com

dockerpythongithub actions
Sécurité

Internal Penetration Testing: Objective, Methodology, Black Box and Grey Box Tests

Cet article traite de la sécurité des réseaux internes, en se concentrant sur l'approche du test d'intrusion interne, qui simule le comportement des attaquants. Il aborde les méthodologies de tests d'intrusion en boîtes noires et grises, les étapes de reconnaissance, l'identification des services vulnérables et les impacts des exploits. L'accent est mis sur la nécessité des tests d'intrusion pour garantir la confidentialité et l'intégrité des données au sein d'une organisation, ainsi que les différentes stratégies d'attaque à travers les scénarios avec ou sans compte utilisateur.

www.vaadata.com

pentestingactive directoryvulnérabilités
Sécurité

Exploiting an LFI (Local File Inclusion) Vulnerability and Security Tips

Cet article explique la vulnérabilité d'inclusion de fichiers locaux (LFI) où un attaquant peut exploiter une fonctionnalité pour inclure des fichiers du système, pouvant mener à l'exécution de code ou à l'accès d'informations sensibles. Des méthodes de prévention comme la validation des paramètres, l'utilisation de basename en PHP, et des mécanismes pour éviter l'enregistrement d'informations sensibles dans les fichiers logs sont également abordées.

www.vaadata.com

phpxsspath traversal